Zasady przetwarzania i transferu transgranicznego danych osobowych zostały uregulowane w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (zwanej dalej dyrektywą) oraz w implementującej przepisy dyrektywy do krajowego porządku prawnego ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (zwanej dalej ustawą).
Transfer danych w UE
Proces przetwarzania danych osobowych w każdym z państw należących do EOG został uregulowany w podobny sposób, w związku z tym pracodawcy, zamierzający np. zatrudnić pracownika – obywatela innego państwa będącego członkiem UE, nie muszą spełniać żadnych dodatkowych wymagań odnośnie do zabezpieczenia danych osobowych poza tymi stawianymi przez polską ustawę. Podobnie jest w przypadku transferu danych osobowych w ramach podmiotów mających swoje siedziby na terenie UE.
Przykład
Pracodawca w ramach oszczędności postanowił zwolnić wszystkich pracowników z działu księgowości i kadr. Obowiązki wykonywane przez te osoby przekazał firmie zewnętrznej, której siedziba znajduje się na terenie Francji. W takiej sytuacji wystarczy, aby pracodawca zawarł z firmą umowę o powierzenie przetwarzania danych osobowych. Umowa ta musi spełniać wszystkie wymagania dotyczące bezpieczeństwa przetwarzania danych osobowych, jakie stawia polska ustawa.
Generalny Inspektor Ochrony Danych Osobowych (zwany dalej GIODO) w jednej z odpowiedzi na pytania pracodawców stwierdził, że ustawa nie zawiera odrębnych przepisów regulujących przekazywanie danych osobowych w ramach państw EOG. Oznacza to, że przepływ danych w obrębie EOG jest traktowany tak samo jak transfer danych na terytorium Polski. Zasada ta obejmuje wszystkie państwa członkowskie Unii Europejskiej oraz te państwa EOG, które nie są członkami UE (tj. Norwegię, Islandię i Liechtenstein).
Wystarczające jest, aby podmiot mający siedzibę w Polsce, który przeprowadza rekrutację pracowników on-line na obszarze państw EOG, spełnił wymogi wynikające z polskiej ustawy o ochronie danych osobowych.
Transfer danych do państwa spoza UE
W przypadku transferu danych pracowników do państwa trzeciego znajdującego się poza strukturami UE lub EOG decydujące jest zapewnienie odpowiedniego stopnia ochrony przekazywanych danych.
Pracodawca może dokonać przekazania informacji o pracowniku do państwa trzeciego, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych przynajmniej na takim samym poziomie jak gwarancje zapewnione na terytorium Polski.
Jeżeli kraj docelowy nie spełnia minimalnych wymagań, pracodawca może przekazać dane, gdy wynika to z obowiązku nałożonego na niego przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej.
Dodatkowo pracodawca może przekazać dane osobowe do państwa trzeciego w sytuacji, gdy:
- osoba, której dane dotyczą, udzieliła na to zgody na piśmie,
- przekazanie jest niezbędne do wykonania umowy między administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
- przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem danych a innym podmiotem,
- przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,
- przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
- dane są ogólnie dostępne.
W każdym innym przypadku transfer danych jest dopuszczalny wyłącznie po uzyskaniu zgody GIODO.
Dyrektywa zastrzega, że w celu zapewnienia legalności operacji transferu danych osobowych nie wystarcza istnienie w państwie trzecim odpowiedniego stopnia ochrony. Dodatkowo pracodawca jako administrator danych jest zobowiązany zadbać o to, aby przekazywane dane były zgodne z odpowiednimi przepisami kraju pochodzenia danych. Oznacza to, że konieczne jest spełnienie nie tylko szczegółowych przesłanek transferu danych do państwa trzeciego (art. 47–48 ustawy), lecz także wszystkich wymogów ogólnych nałożonych ustawą (dane muszą być m.in. pozyskane i przetwarzane zgodnie z prawem).
Komisja Europejska uznała, że w przypadku transferu danych osobowych pracowników do podmiotu mającego swoją siedzibę na terenie USA, jeśli odbiorcą danych jest przedsiębiorca, który przystąpił do programu Safe Harbor, to transfer danych nie wymaga spełnienia dodatkowych wymogów.
Przykład
Pracodawca w celu ułatwienia pracy działom kadr i płac postanowił umieścić wszystkie dane pracowników na serwerze zewnętrznym. Zarówno serwer, jak i firma nim administrująca znajduje się na terenie USA. W takiej sytuacji pracodawca jako administrator danych osobowych pracowników powinien zadbać o to, aby dane te były wystarczająco dobrze chronione. Jeżeli firma administrująca serwerem przystąpiła do programu Safe Harbor, to pracodawca może uznać, że ochrona danych osobowych w tym przedsiębiorstwie spełnia minimalne wymagania, jakie są niezbędne do przetwarzania w Polsce. Natomiast jeżeli firma ta nie przystąpiła do wspomnianego wyżej programu, pracodawca–administrator danych musi zadbać o bezpieczeństwo transferowanych danych osobowych i wystąpić o odpowiednią zgodę do Generalnego Inspektora Ochrony Danych Osobowych.
Wiążące reguły korporacyjne (BCR)
Pewnym sposobem ułatwiającym transfer danych pracowników wewnątrz międzynarodowych korporacji, posiadających oddziały w różnych częściach świata, jest opracowanie wewnątrzkorporacyjnych przepisów zapewniających bezpieczeństwo przetwarzania danych (BCR – z ang. Binding Corporate Rulet). Zasada działania tego rozwiązania polega na takim ukształtowaniu reguł przetwarzania danych osobowych, aby były one oderwane od terytorialnych systemów prawa, jednak w każdym przypadku zasady te muszą gwarantować zapewnienie odpowiedniego stopnia ochrony przetwarzanych danych.
Przed zastosowaniem BCR muszą uzyskać pozytywną opinię GIODO. W ramach procedury współpracy weryfikuje on treść BCR razem z organami pozostałych państw członkowskich, na terenie których przedsiębiorstwo prowadzi działalność. Dopiero po przeprowadzeniu takiej procedury może zostać wyrażona zgoda na przesyłanie danych w ramach korporacji na podstawie BCR.
Podstawa prawna:
- art. 47–48 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.),
- art. 25 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (DzUrz UE L 281 z 23.11.1995 r., s. 31, DzUrz UE Polskie wydanie specjalne 2004 r. rozdz. 13, t. 15, s. 355).